Sdílet prostřednictvím

Nastavení ověřování založeného na certifikátech Microsoft Entra

Vaše organizace může implementovat ověřování odolné proti útokům phishing, moderní a bez hesla prostřednictvím certifikátů X.509 uživatelů pomocí ověřování založeného na certifikátech Microsoft Entra (CBA).

V tomto článku se dozvíte, jak nastavit tenanta Microsoft Entra tak, aby povolili nebo vyžadovali ověření uživatelů tenanta pomocí certifikátů X.509. Uživatel vytvoří certifikát X.509 pomocí infrastruktury veřejných klíčů organizace pro přihlašování k aplikacím a prohlížeči.

Při nastavení jazyka Microsoft Entra CBA se uživateli při přihlašování místo zadání hesla zobrazí možnost ověření pomocí certifikátu. Pokud se na zařízení nachází více odpovídajících certifikátů, uživatel vybere příslušný certifikát a certifikát se ověří vůči uživatelskému účtu. Pokud ověření proběhne úspěšně, uživatel se přihlásí.

Dokončete kroky popsané v tomto článku a nakonfigurujte a použijte Microsoft Entra CBA pro tenanty v plánech Office 365 Enterprise a US Government. Musíte už mít nakonfigurovanou pkI .

Požadavky

Ujistěte se, že jsou splněny následující předpoklady:

  • Alespoň jedna certifikační autorita (CA) a všechny zprostředkující certifikační autority se konfigurují v ID Microsoft Entra.
  • Uživatel má přístup k uživatelskému certifikátu vydanému z důvěryhodné infrastruktury veřejných klíčů nakonfigurovaných v tenantovi určeném pro ověřování klientů v Microsoft Entra ID.
  • Každá certifikační autorita má seznam odvolaných certifikátů (CRL), na který lze odkazovat z internetových adres URL. Pokud důvěryhodná certifikační autorita nemá nakonfigurovaný CRL, Microsoft Entra ID neprovádí žádnou kontrolu CRL, odvolání uživatelských certifikátů nefunguje a ověřování není blokováno.

Úvahy

  • Ujistěte se, že je infrastruktura veřejných klíčů zabezpečená a není možné ji snadno ohrozit. Pokud dojde k porušení zabezpečení, útočník může vytvořit a podepsat klientské certifikáty a ohrozit všechny uživatele v tenantovi, včetně uživatelů, kteří jsou synchronizovaní z místního prostředí. Silná strategie ochrany klíčů a další fyzické a logické kontroly můžou poskytovat hloubkovou ochranu, aby zabránila externím útočníkům nebo vnitřním hrozbám v ohrožení integrity infrastruktury veřejných klíčů. Další informace naleznete v tématu Zabezpečení infrastruktury veřejných klíčů.

  • Osvědčené postupy pro kryptografii Microsoftu, včetně výběru algoritmu, délky klíče a ochrany dat, najdete v doporučeních Microsoftu. Nezapomeňte použít jeden z doporučených algoritmů, doporučenou délku klíče a křivky schválené NIST.

  • V rámci průběžných vylepšení zabezpečení přidaly koncové body Azure a Microsoft 365 podporu protokolu TLS 1.3. Očekává se, že tento proces bude trvat několik měsíců, než pokryje tisíce koncových bodů služby v Azure a Microsoftu 365. Koncový bod Microsoft Entra, který Microsoft Entra CBA používá, jsou zahrnuty v aktualizaci: *.certauth.login.microsoftonline.com a *.certauth.login.microsoftonline.us.

    TLS 1.3 je nejnovější verze internetového nejčastěji nasazeného protokolu zabezpečení. Protokol TLS 1.3 šifruje data a poskytuje zabezpečený komunikační kanál mezi dvěma koncovými body. Eliminuje zastaralé kryptografické algoritmy, vylepšuje zabezpečení oproti dřívějším verzím a šifruje co největší část metody handshake. Důrazně doporučujeme začít testovat protokol TLS 1.3 ve vašich aplikacích a službách.

  • Při vyhodnocování infrastruktury veřejných klíčů je důležité zkontrolovat zásady vystavování certifikátů a vynucování. Jak bylo popsáno výše, přidání certifikačních autorit do konfigurace Microsoft Entra umožňuje certifikátům vydaným těmito certifikačními autoritami ověřit libovolného uživatele v Microsoft Entra ID.

    Je důležité zvážit, jak a kdy certifikační autority můžou vydávat certifikáty a jak implementují opakovaně použitelné identifikátory. Správci potřebují pouze zajistit, aby byl konkrétní certifikát možné použít k ověření uživatele, ale k dosažení vyšší úrovně zajištění, že uživatele může ověřit jenom konkrétní certifikát, by měli používat výhradně vazby s vysokou spřažení. Další informace naleznete v tématu Vazby s vysokou spřažení.

Konfigurace a testování jazyka Microsoft Entra CBA

Před zapnutím jazyka Microsoft Entra CBA je nutné provést několik kroků konfigurace.

Správce musí nakonfigurovat důvěryhodné certifikační autority, které vydávají uživatelské certifikáty. Jak je znázorněno v následujícím diagramu, Azure používá řízení přístupu na základě role (RBAC) k zajištění toho, aby k provádění změn vyžadovali pouze nejméně privilegovaní správci.

Důležité

Microsoft doporučuje používat role s co nejmenším počtem oprávnění. Tento postup pomáhá zlepšit zabezpečení pro vaši organizaci. Globální správce je vysoce privilegovaná role, která by měla být omezená na scénáře tísňového volání nebo v případě, že nemůžete použít existující roli.

Volitelně můžete nakonfigurovat ověřovací vazby pro mapování certifikátů na jednofaktorové ověřování nebo vícefaktorové ověřování (MFA). Nakonfigurujte vazby uživatelského jména pro mapování pole certifikátu na atribut objektu uživatele. Správce zásad ověřování může nakonfigurovat nastavení související s uživatelem.

Po dokončení všech konfigurací zapněte v tenantovi Microsoft Entra CBA.

Diagram znázorňující přehled kroků potřebných k zapnutí ověřování založeného na certifikátu Microsoft Entra

Krok 1: Konfigurace certifikačních autorit s úložištěm důvěryhodnosti založeným na infrastruktuře veřejných klíčů

Microsoft Entra má nové úložiště důvěryhodnosti certifikační autority založené na infrastruktuře. Úložiště důvěryhodnosti uchovává certifikační autority uvnitř objektu kontejneru pro každou pkI. Správci můžou spravovat certifikační autority v kontejneru na základě infrastruktury veřejných klíčů snadněji, než můžou spravovat plochý seznam certifikačních autorit.

Úložiště důvěryhodnosti založené na infrastruktuře veřejných klíčů má vyšší limity než klasické úložiště důvěryhodnosti pro počet certifikačních autorit a velikost každého souboru certifikační autority. Úložiště důvěryhodnosti založené na infrastruktuře veřejných klíčů podporuje až 250 certifikačních autorit a 8 kB pro každý objekt certifikační autority.

Pokud ke konfiguraci certifikačních autorit používáte klasické úložiště důvěryhodnosti, důrazně doporučujeme nastavit úložiště důvěryhodnosti založené na infrastruktuře veřejných klíčů. Úložiště důvěryhodnosti založené na infrastruktuře veřejných klíčů je škálovatelné a podporuje nové funkce, jako jsou rady vystavitele.

Správce musí nakonfigurovat důvěryhodné certifikační autority, které vydávají uživatelské certifikáty. K provádění změn se vyžadují pouze nejméně privilegovaní správci. Úložiště důvěryhodnosti založené na infrastruktuře veřejných klíčů má přiřazenou roli Správce privilegovaného ověřování .

Funkce nahrání infrastruktury veřejných klíčů úložiště důvěryhodnosti založená na infrastruktuře veřejných klíčů je k dispozici pouze s licencí Microsoft Entra ID P1 nebo P2. S bezplatnou licencí Microsoft Entra však může správce nahrát všechny certifikační autority jednotlivě, místo aby nahrál soubor PKI. Pak můžou nakonfigurovat úložiště důvěryhodnosti založené na infrastruktuře veřejných klíčů a přidat nahrané soubory CERTIFIKAČNÍ autority.

Konfigurace certifikačních autorit pomocí Centra pro správu Microsoft Entra

Vytvoření objektu kontejneru PKI (Centrum pro správu Microsoft Entra)

Vytvoření objektu kontejneru PKI:

  1. Přihlaste se do Centra pro správu Microsoft Entra pomocí účtu, který má přiřazenou roli Privileged Authentication Administrator .

  2. Přejděte doinfrastruktury veřejného klíčes bezpečnostním skóre> identity Entra ID>.

  3. Vyberte Vytvořit PKI.

  4. Jako zobrazovaný název zadejte název.

  5. Vyberte Vytvořit.

    Diagram znázorňující kroky potřebné k vytvoření infrastruktury veřejných klíčů

  6. Pokud chcete přidat nebo odstranit sloupce, vyberte Upravit sloupce.

  7. Pokud chcete aktualizovat seznam veřejných klíčů, vyberte Aktualizovat.

Odstranění objektu kontejneru PKI

Pokud chcete odstranit pkI, vyberte pkI a vyberte Odstranit. Pokud infrastruktura veřejných klíčů obsahuje certifikační autority, zadejte název infrastruktury veřejných klíčů, aby se potvrdilo odstranění všech certifikačních autorit v infrastruktuře veřejných klíčů. Pak vyberte Odstranit.

Diagram znázorňující kroky potřebné k odstranění infrastruktury veřejných klíčů

Nahrání jednotlivých certifikačních autorit do objektu kontejneru PKI

Nahrání certifikační autority do kontejneru PKI:

  1. Vyberte Přidat certifikační autoritu.

  2. Vyberte soubor certifikační autority.

  3. Pokud je certifikační autorita kořenovým certifikátem, vyberte Ano. V opačném případě vyberte Ne.

  4. Jako adresu URL seznamu odvolaných certifikátů zadejte internetovou adresu URL základního seznamu CRL certifikační autority, která obsahuje všechny odvolané certifikáty. Pokud adresa URL není nastavená, pokus o ověření pomocí odvolaných certifikátů se nezdaří.

  5. Jako adresu URL seznamu odvolaných certifikátů delta zadejte internetovou adresu URL seznamu odvolaných certifikátů, která obsahuje všechny odvolané certifikáty od posledního publikování seznamu odvolaných certifikátů.

  6. Pokud by certifikační autorita neměla být zahrnutá v nápovědě vystavitele, vypněte rady vystavitele. Příznak Rady vystavitele je ve výchozím nastavení vypnutý.

  7. Vyberte Uložit.

  8. Pokud chcete certifikační autoritu odstranit, vyberte certifikační autoritu a vyberte Odstranit.

    Diagram znázorňující, jak odstranit certifikát certifikační autority

  9. Pokud chcete přidat nebo odstranit sloupce, vyberte Upravit sloupce.

  10. Pokud chcete aktualizovat seznam veřejných klíčů, vyberte Aktualizovat.

Zpočátku se zobrazí 100 certifikátů certifikační autority. Další se zobrazí, když se posunete dolů v podokně.

Nahrání všech certifikačních autorit do objektu kontejneru PKI

Hromadné nahrání všech certifikačních autorit do kontejneru PKI:

  1. Vytvořte objekt kontejneru PKI nebo otevřete existující kontejner.

  2. Vyberte Nahrát PKI.

  3. Zadejte internetovou adresu URL .p7b souboru http.

  4. Zadejte kontrolní součet SHA-256 souboru.

  5. Vyberte nahrávání.

    Proces nahrání infrastruktury veřejných klíčů je asynchronní. Jakmile je každá certifikační autorita nahrána, je dostupná v PKI. Nahrávání celé infrastruktury veřejných klíčů může trvat až 30 minut.

  6. Výběrem možnosti Aktualizovat aktualizujte seznam certifikačních autorit.

  7. Každý nahraný atribut koncového bodu CRL certifikační autority se aktualizuje s první dostupnou adresou URL protokolu HTTP certifikátu, která je uvedená jako atribut distribučních bodů seznamu CRL . Všechny listové certifikáty musíte aktualizovat ručně.

Pokud chcete vygenerovat kontrolní součet SHA-256 souboru PKI .p7b , spusťte:

Get-FileHash .\CBARootPKI.p7b -Algorithm SHA256

Úprava PKI

  1. Na řádku PKI vyberte ... a vyberte Upravit.
  2. Zadejte nový název INFRASTRUKTURY veřejných klíčů.
  3. Vyberte Uložit.

Úprava certifikační autority (CA)

  1. Na řádku certifikační autority vyberte ... a vyberte Upravit.
  2. Zadejte nové hodnoty pro typ certifikační autority (kořenový nebo zprostředkující), adresu URL seznamu CRL, rozdílovou adresu URL seznamu CRL nebo příznak s povoleným vydavatelem podle vašich požadavků.
  3. Vyberte Uložit.

Hromadná úprava atributu hints vystavitele

  1. Pokud chcete upravit více certifikačních autorit a zapnout nebo vypnout atribut povolených tipů vystavitele , vyberte více certifikačních autorit.
  2. Vyberte Upravit a pak vyberte Upravit rady vystavitele.
  3. Zaškrtněte políčko Povolit rady vystavitele u všech vybraných certifikačních autorit nebo zrušte výběr a vypněte příznak Povolené rady vystavitele pro všechny vybrané certifikační autority. Výchozí hodnota je neurčitá.
  4. Vyberte Uložit.

Obnovení infrastruktury veřejných klíčů

  1. Vyberte kartu Odstraněné PKI.
  2. Vyberte PKI a vyberte Obnovit PKI.

Obnovení certifikační autority

  1. Vyberte záložku Odstraněné certifikační autority.
  2. Vyberte soubor certifikační autority a pak vyberte Obnovit certifikační autoritu.

Konfigurace atributu isIssuerHintEnabled pro certifikační autoritu

Rady vystavitele odesílají zpět důvěryhodný indikátor certifikační autority jako součást metody handshake tls (Transport Layer Security). Seznam důvěryhodných certifikačních autorit je nastavený na předmět certifikačních autorit, které tenant nahraje do úložiště důvěryhodnosti Microsoft Entra. Další informace naleznete v tématu Principy nápovědy vystavitele.

Ve výchozím nastavení se názvy všech certifikačních autorit v úložišti důvěryhodnosti Microsoft Entra odesílají jako nápovědy. Pokud chcete poslat zpět nápovědu pouze pro konkrétní certifikační autority, nastavte atribut isIssuerHintEnabled nápovědy vystavitele na true.

Server může odeslat zpět klientovi TLS maximálně 16kB odpověď na rady vystavitele (název subjektu certifikační autority). Doporučujeme nastavit isIssuerHintEnabled atribut true jenom pro certifikační autority, které vydávají uživatelské certifikáty.

Pokud více zprostředkujících certifikačních autorit ze stejného kořenového certifikátu vydává uživatelské certifikáty, zobrazí se ve výchozím nastavení všechny certifikáty v nástroji pro výběr certifikátu. Pokud nastavíte isIssuerHintEnabledtrue pro konkrétní certifikační autority, zobrazí se v nástroji pro výběr certifikátu jenom relevantní uživatelské certifikáty.

Konfigurace certifikačních autorit pomocí rozhraní Microsoft Graph API

Následující příklady ukazují, jak pomocí Microsoft Graphu spouštět operace Create, Read, Update a Delete (CRUD) prostřednictvím metod HTTP pro PKI nebo CA.

Vytvoření objektu kontejneru PKI (Microsoft Graph)

PATCH https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/
Content-Type: application/json
{
   "displayName": "ContosoPKI"
}

Získání všech objektů PKI

GET https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations
ConsistencyLevel: eventual

Získání objektu PKI podle ID PKI

GET https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/<PKI-ID>/
ConsistencyLevel: eventual

Nahrání certifikačních autorit pomocí souboru .p7b

PATCH https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/<PKI-id>/certificateAuthorities/<CA-ID>
Content-Type: application/json
{
     "uploadUrl":"https://CBA/demo/CBARootPKI.p7b,
     "sha256FileHash": "AAAAAAD7F909EC2688567DE4B4B0C404443140D128FE14C577C5E0873F68C0FE861E6F"
}

Získejte všechny certifikační autority v PKI

GET https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/<PKI-ID>/certificateAuthorities
ConsistencyLevel: eventual

Získání konkrétní certifikační autority v infrastruktuře veřejných klíčů podle ID certifikační autority

GET https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/<PKI-ID>/certificateAuthorities/<CA-ID>
ConsistencyLevel: eventual

Aktualizace příznaku nápovědy pro konkrétní vystavitele certifikační autority

PATCH https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/<PKI-ID>/certificateAuthorities/<CA-ID>
Content-Type: application/json
{
   "isIssuerHintEnabled": true
}

Konfigurace certifikačních autorit pomocí PowerShellu

Pro tyto kroky použijte Microsoft Graph PowerShell.

  1. Spusťte PowerShell pomocí možnosti Spustit jako správce .

  2. Nainstalujte a naimportujte sadu Microsoft Graph PowerShell SDK:

    Install-Module Microsoft.Graph -Scope AllUsers
Import-Module Microsoft.Graph.Authentication
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser

  3. Připojte se k tenantovi a přijměte všechny:

       Connect-MGGraph -Scopes "Directory.ReadWrite.All", "User.ReadWrite.All" -TenantId <tenantId>

Stanovení priorit mezi úložištěm důvěryhodnosti založeným na infrastruktuře veřejných klíčů a klasickým úložištěm certifikační autority

Pokud certifikační autorita existuje v úložišti certifikační autority založené na infrastruktuře i klasickém úložišti certifikační autority, je upřednostněno úložiště důvěryhodnosti na základě infrastruktury veřejných klíčů.

Klasické úložiště certifikační autority má v těchto scénářích prioritu:

  • Certifikační autorita existuje v obou úložištích, úložiště založené na infrastruktuře nemá žádný CRL, ale certifikační autorita klasického úložiště má platný CRL.
  • Certifikační autorita existuje v obou úložištích a CRL certifikační autority založené na infrastruktuře veřejných klíčů se liší od seznamu CRL klasického úložiště.

Protokol přihlášení

Položka protokolu přihlášení Microsoft Entra přerušila dva atributy v části Další podrobnosti , které indikují, jestli se při ověřování používalo vůbec klasické nebo starší úložiště důvěryhodnosti.

  • Používá se starší úložiště hodnotu 0 , která označuje, že se používá úložiště založené na infrastruktuře veřejných klíčů. Hodnota 1 označuje, že se používá klasické nebo starší úložiště.
  • Informace o použití starší verze úložiště zobrazují důvod použití klasického nebo staršího úložiště.

Snímek obrazovky znázorňující položku protokolu přihlašování pro použití úložiště založeného na infrastruktuře veřejných klíčů nebo klasického úložiště certifikační autority

Protokol auditu

Všechny operace CRUD, které spouštíte na infrastruktuře veřejných klíčů nebo certifikační autoritě v úložišti důvěryhodnosti, se zobrazí v protokolech auditu Microsoft Entra.

Snímek obrazovky s podoknem Protokoly auditu

Migrace z klasického úložiště certifikační autority do úložiště založeného na infrastruktuře veřejných klíčů

Správce tenanta může nahrát všechny certifikační autority do úložiště založeného na infrastruktuře veřejných klíčů. Úložiště certifikační autority PKI pak má přednost před klasickým úložištěm a veškeré ověřování CBA probíhá prostřednictvím úložiště založeného na infrastruktuře veřejných klíčů. Správce tenanta může certifikační autority odebrat z klasického nebo staršího úložiště poté, co potvrdí, že se v protokolech přihlášení nepoužívaly klasické nebo starší úložiště.

Nejčastější dotazy

Proč se nahrání infrastruktury veřejných klíčů nezdaří?

Ověřte, že je soubor PKI platný a zda je přístupný bez jakýchkoli problémů. Maximální velikost souboru PKI je 2 MB (250 certifikačních autorit a 8 kB pro každý objekt CA).

Jaká je smlouva o úrovni služeb pro nahrání infrastruktury veřejných klíčů?

Nahrání infrastruktury veřejných klíčů je asynchronní operace a dokončení může trvat až 30 minut.

Jak vygeneruji kontrolní součet SHA-256 pro soubor PKI?

Pokud chcete vygenerovat kontrolní součet SHA-256 souboru PKI .p7b , spusťte tento příkaz:

Get-FileHash .\CBARootPKI.p7b -Algorithm SHA256

Krok 2: Zapnutí CBA pro tenanta

Důležité

Uživatel je považován za schopný dokončit vícefaktorové ověřování, pokud je uživatel určen jako v oboru pro CBA v zásadách metod ověřování. Tento požadavek na zásady znamená, že uživatel nemůže jako součást ověřování použít ověření identity k registraci dalších dostupných metod. Pokud uživatel nemá přístup k certifikátům, je uzamčený a nemůže zaregistrovat další metody vícefaktorového ověřování. Správci, kteří mají přiřazenou roli Správce zásad ověřování, musí zapnout CBA jenom pro uživatele, kteří mají platné certifikáty. Nezahrnujte do CBA všechny uživatele. Používejte jenom skupiny uživatelů, kteří mají k dispozici platné certifikáty. Další informace naleznete v tématu Vícefaktorové ověřování Microsoft Entra.

Zapnutí CBA prostřednictvím Centra pro správu Microsoft Entra:

  1. Přihlaste se do Centra pro správu Microsoft Entra pomocí účtu, který má přiřazenou alespoň roli správce zásad ověřování .

  2. Přejděte do skupin>Všechny skupiny.

  3. Vyberte Možnost Nová skupina a vytvořte skupinu pro uživatele CBA.

  4. Přejděte naOvěřování> metod ověřování entra ID>na základě certifikátu.

  5. V části Povolit a Cíl vyberte Povolit a pak zaškrtněte políčko I Potvrzení .

  6. Zvolte Vybrat skupiny>Přidat skupiny.

  7. Zvolte konkrétní skupiny, třeba skupiny, které jste vytvořili, a pak zvolte Vybrat. Místo všech uživatelů používejte konkrétní skupiny.

  8. Vyberte Uložit.

    Snímek obrazovky, který ukazuje, jak zapnout CBA

Po zapnutí CBA pro tenanta uvidí všichni uživatelé v tenantovi možnost přihlásit se pomocí certifikátu. Ověření pomocí certifikátu X.509 můžou provádět jenom uživatelé, kteří mohou používat CBA.

Poznámka:

Správce sítě by měl kromě koncového login.microsoftonline.com bodu povolit přístup ke koncovému bodu ověřování certifikátů pro cloudové prostředí organizace. Vypněte kontrolu protokolu TLS v koncovém bodu ověřování certifikátu a ujistěte se, že požadavek na klientský certifikát bude úspěšný jako součást metody handshake protokolu TLS.

Krok 3: Konfigurace zásad vazby ověřování

Zásady vazby ověřování pomáhají nastavit sílu ověřování na jeden faktor nebo vícefaktorové ověřování. Výchozí úroveň ochrany pro všechny certifikáty v tenantovi je jednofaktorové ověřování.

Výchozí vazba spřažení na úrovni tenanta je nízká. Správce zásad ověřování může změnit výchozí hodnotu z jednofaktorového ověřování na vícefaktorové ověřování. Pokud se úroveň ochrany změní, všechny certifikáty v tenantovi se nastaví na vícefaktorové ověřování. Podobně lze vazbu spřažení na úrovni tenanta nastavit na vysokou spřažení. Všechny certifikáty se pak ověřují pouze pomocí atributů s vysokou spřažení.

Důležité

Správce musí nastavit výchozí hodnotu tenanta na hodnotu, která se vztahuje pro většinu certifikátů. Vytvořte vlastní pravidla pouze pro konkrétní certifikáty, které potřebují jinou úroveň ochrany nebo vazbu spřažení než výchozí nastavení tenanta. Všechny konfigurace metod ověřování jsou ve stejném souboru zásad. Vytvoření více redundantních pravidel může překročit limit velikosti souboru zásad.

Ověřovací pravidla vazby mapují atributy certifikátu, jako jsou Vystavitel, ID objektu zásad (OID)a Vystavitel a Identifikátor zásad na zadanou hodnotu. Pravidla nastaví výchozí úroveň ochrany a vazbu spřažení pro toto pravidlo.

Úprava výchozího nastavení tenanta a vytvoření vlastních pravidel prostřednictvím Centra pro správu Microsoft Entra:

  1. Přihlaste se do Centra pro správu Microsoft Entra pomocí účtu, který má přiřazenou alespoň roli správce zásad ověřování .

  2. Přejděte dozásadověřování>entra ID>.

  3. V části Spravovat migrace vyberte ověřování metod>ověřování na základě certifikátu.

    Snímek obrazovky, který ukazuje, jak nastavit zásady ověřování

  4. Pokud chcete nastavit ověřovací vazbu a vazbu uživatelského jména, vyberte Konfigurovat.

  5. Pokud chcete změnit výchozí hodnotu na vícefaktorové ověřování, vyberte Vícefaktorové ověřování. Atribut úrovně ochrany má výchozí hodnotu jednofaktorového ověřování.

    Poznámka:

    Výchozí úroveň ochrany platí, pokud nejsou přidána žádná vlastní pravidla. Pokud přidáte vlastní pravidlo, bude se místo výchozí úrovně ochrany respektovat úroveň ochrany definovaná na úrovni pravidla.

    Snímek obrazovky, který ukazuje, jak změnit výchozí zásady ověřování na vícefaktorové ověřování

  6. Můžete také nastavit vlastní pravidla vazby autentizace, která pomáhají určit úroveň ochrany pro klientské certifikáty, u kterých je třeba odlišných hodnot pro úroveň ochrany nebo vazby afinity než těch, které jsou výchozí pro tenanta. Pravidla můžete nakonfigurovat pomocí subjektu vystavitele nebo identifikátoru zásady nebo obou polí v certifikátu.

    Ověřovací pravidla vazby mapují atributy certifikátu (vystavitel nebo identifikátor OID zásad) na hodnotu. Hodnota nastaví výchozí úroveň ochrany pro toto pravidlo. Lze vytvořit více pravidel. V následujícím příkladu předpokládejme, že výchozí nastavení tenanta je Vícefaktorové ověřování a Nízká hodnota vazby spřažení.

    Pokud chcete přidat vlastní pravidla, vyberte Přidat pravidlo.

    Snímek obrazovky, který ukazuje, jak přidat vlastní pravidlo

    Vytvoření pravidla podle vystavitele certifikátu:

    1. Vyberte vystavitele certifikátu.

    2. Jako identifikátor vystavitele certifikátu vyberte příslušnou hodnotu.

    3. Pro sílu ověřování vyberte Vícefaktorové ověřování.

    4. V případě vazby spřažení vyberte Možnost Nízká.

    5. Vyberte Přidat.

    6. Po zobrazení výzvy zaškrtněte políčko Potvrdit a přidejte pravidlo.

      Snímek obrazovky znázorňující mapování zásad vícefaktorového ověřování na vazbu s vysokou spřažení

    Vytvoření pravidla podle identifikátoru zásad:

    1. Vyberte identifikátor zásady.

    2. Jako identifikátor zásady zadejte hodnotu.

    3. Pro sílu ověřování vyberte jednofaktorové ověřování.

    4. Pro vazbu spřažení vyberte Možnost Nízká pro vazbu spřažení.

    5. Vyberte Přidat.

    6. Po zobrazení výzvy zaškrtněte políčko Potvrdit a přidejte pravidlo.

      Snímek obrazovky znázorňující mapování na identifikátor zásady s vazbou s nízkou spřažením

    Vytvoření pravidla podle vystavitele a identifikátoru zásad:

    1. Vyberte vystavitele certifikátu a identifikátor zásad.

    2. Vyberte vystavitele a zadejte OID zásady.

    3. Pro sílu ověřování vyberte Vícefaktorové ověřování.

    4. V případě vazby spřažení vyberte Možnost Nízká.

    5. Vyberte Přidat.

      Snímek obrazovky znázorňující výběr vazby s nízkou spřažení

      Snímek obrazovky znázorňující, jak přidat vazbu s nízkou spřažení

    6. Ověřte se pomocí certifikátu, který má identifikátor zásady 3.4.5.6 a který je vystaven .CN=CBATestRootProd Ověřte, že ověřování projde pro vícefaktorovou deklaraci identity.

    Vytvoření pravidla podle vystavitele a sériového čísla:

    1. Přidejte zásadu vazby autentizace. Tato zásada vyžaduje, aby jakýkoli certifikát vydaný CN=CBATestRootProd identifikátorem zásady 1.2.3.4.6 potřeboval pouze vazbu s vysokou spřažení. Používá se vystavitel a sériové číslo.

      Snímek obrazovky znázorňující vystavitele a sériové číslo přidané v Centru pro správu Microsoft Entra

    2. Vyberte pole certifikátu. V tomto příkladu vyberte Vystavitel a sériové číslo.

      Snímek obrazovky, který ukazuje, jak vybrat Vystavitel a sériové číslo

    3. Jediný podporovaný atribut uživatele je certificateUserIds. Vyberte certificateUserIds a vyberte Přidat.

      Snímek obrazovky, který ukazuje, jak přidat vystavitele a sériové číslo

    4. Vyberte Uložit.

      Protokol přihlašování ukazuje, která vazba byla použita pro přihlášení, a podrobnosti z certifikátu.

      Snímek obrazovky s podrobnostmi protokolu přihlášení

  7. Vyberte OK a uložte všechna vlastní pravidla.

Důležité

Zadejte identifikátor zásady pomocí formátu identifikátoru objektu. Pokud například zásada certifikátu říká Všechny zásady vystavování, zadejte identifikátor zásady jako 2.5.29.32.0 při přidání pravidla. Řetězec Všechny zásady vystavování je pro editor pravidel neplatný a nevstupuje v platnost.

Krok 4: Konfigurace zásad vazby uživatelského jména

Zásady vazby uživatelského jména pomáhají ověřit certifikát uživatele. Ve výchozím nastavení pro určení uživatele namapujete hlavní název v certifikátu na userPrincipalName objekt uživatele.

Správce zásad ověřování může přepsat výchozí nastavení a vytvořit vlastní mapování. Další informace naleznete v tématu Jak funguje vazba uživatelského jména.

Další scénáře, které atribut používají certificateUserIds , najdete v tématu ID uživatele certifikátu.

Důležité

Pokud zásada vazby uživatelského jména používá synchronizované atributy, jako certificateUserIdsje , onPremisesUserPrincipalNamea userPrincipalName atribut objektu uživatele, účty s oprávněními správce v místní službě Windows Server Active Directory mohou provádět změny, které mají vliv na tyto atributy v Microsoft Entra ID. Tyto typy změn můžou provádět například účty s delegovanými právy k uživatelským objektům nebo roli správce na serveru Microsoft Entra Connect.

  1. Vytvořte vazbu uživatelského jména výběrem jednoho z polí certifikátu X.509 pro spojení s jedním z atributů uživatele. Pořadí vazeb uživatelských jmen představuje úroveň priority vazby. První vazba uživatelského jména má nejvyšší prioritu atd.

    Snímek obrazovky znázorňující zásady vazby uživatelského jména

    Pokud se zadané pole certifikátu X.509 najde v certifikátu, ale ID Microsoft Entra nenajde objekt uživatele, který má odpovídající hodnotu, ověřování selže. Potom Microsoft Entra ID pokusí další vazbu v seznamu.

  2. Vyberte Uložit.

Konečná konfigurace vypadá podobně jako v tomto příkladu:

Snímek obrazovky znázorňující konečnou konfiguraci

Krok 5: Otestování konfigurace

Tato část popisuje, jak otestovat certifikát a vlastní pravidla vazby ověřování.

Otestování certifikátu

V prvním testu konfigurace se pokuste přihlásit k portálu MyApps pomocí prohlížeče zařízení.

  1. Zadejte hlavní název uživatele (UPN).

    Snímek obrazovky znázorňující hlavní název uživatele

  2. Vyberte Další.

    Snímek obrazovky znázorňující přihlášení pomocí certifikátu

    Pokud jste zpřístupnili jiné metody ověřování, jako je přihlášení telefonem nebo FIDO2, můžou se uživatelům zobrazit jiné přihlašovací dialogové okno.

    Snímek obrazovky znázorňující alternativní dialogové okno pro přihlášení

  3. Vyberte Přihlásit se pomocí certifikátu.

  4. V uživatelském rozhraní pro výběr klientského certifikátu vyberte správný uživatelský certifikát a vyberte OK.

    Snímek obrazovky s uživatelským rozhraním pro výběr certifikátu

  5. Ověřte, že jste přihlášení k portálu MyApps.

Pokud je přihlášení úspěšné, pak víte, že:

  • Uživatelský certifikát je zřízený v testovacím zařízení.
  • Id Microsoft Entra je správně nakonfigurované tak, aby používalo důvěryhodné certifikační autority.
  • Vazba uživatelského jména je správně nakonfigurovaná. Uživatel se najde a ověří.

Testování vlastních pravidel vazeb ověřování

Dále dokončete scénář, ve kterém ověříte silné ověřování. Vytvoříte dvě pravidla zásad ověřování: jedno pomocí vystavitele, které splňuje jednofaktorové ověřování, a druhé pomocí identifikátoru zásad pro splnění vícefaktorového ověřování.

  1. Vytvořte pravidlo subjektu vystavitele s úrovní ochrany jednofaktorového ověřování. Nastavte hodnotu na hodnotu předmětu certifikační autority.

    Příklad:

    CN=WoodgroveCA

  2. Vytvořte pravidlo identifikátoru zásad, které má úroveň ochrany vícefaktorového ověřování. Nastavte hodnotu na jedno z identifikátorů OID zásad v certifikátu. Příklad: 1.2.3.4.

    Snímek obrazovky znázorňující pravidlo identifikátoru zásady

  3. Vytvořte zásadu podmíněného přístupu Microsoft Entra, aby uživatel vyžadoval vícefaktorové ověřování. Dokončete kroky popsané v části Podmíněný přístup – Vyžadovat vícefaktorové ověřování.

  4. Přejděte na portál MyApps. Zadejte UPN a vyberte Další.

    Snímek obrazovky znázorňující hlavní název uživatele

  5. Vyberte Použít certifikát nebo čipovou kartu.

    Snímek obrazovky znázorňující přihlášení pomocí certifikátu

    Pokud jste zpřístupnili jiné metody ověřování, jako je přihlášení telefonem nebo bezpečnostní klíče, můžou se uživatelům zobrazit jiné přihlašovací dialogové okno.

    Snímek obrazovky znázorňující alternativní přihlášení

  6. Vyberte klientský certifikát a pak vyberte Informace o certifikátu.

    Snímek obrazovky znázorňující výběr klienta

    Zobrazí se certifikát a můžete ověřit hodnoty vystavitele a hodnoty OID pravidel.

    Snímek obrazovky znázorňující vystavitele

  7. Pokud chcete zobrazit hodnoty identifikátorů zásad, vyberte Podrobnosti.

    Snímek obrazovky s podrobnostmi o ověřování

  8. Vyberte klientský certifikát a vyberte OK.

Identifikátor zásady v certifikátu odpovídá nakonfigurované hodnotě vícefaktorového 1.2.3.4 ověřování a splňuje ji. Vystavitel v certifikátu odpovídá nakonfigurované hodnotě CN=WoodgroveCA a splňuje jednofaktorové ověřování.

Vzhledem k tomu, že pravidlo identifikátoru zásady má přednost před pravidlem vystavitele, certifikát splňuje vícefaktorové ověřování.

Zásady podmíněného přístupu pro uživatele vyžadují vícefaktorové ověřování a certifikát splňuje vícefaktorové ověřování, aby se uživatel mohl přihlásit k aplikaci.

Testování zásad vazby uživatelského jména

Zásady vazby uživatelského jména pomáhají ověřit certifikát uživatele. Zásady vazby uživatelského jména podporují tři vazby:

  • IssuerAndSerialNumber > certificateUserIds
  • IssuerAndSubject > certificateUserIds
  • Subject > certificateUserIds

Ve výchozím nastavení Microsoft Entra ID mapuje hlavní název v certifikátu na userPrincipalName objekt uživatele k určení uživatele. Správce zásad ověřování může přepsat výchozí nastavení a vytvořit vlastní mapování, jak je popsáno výše.

Správce zásad ověřování musí nastavit nové vazby. Aby se mohli připravit, musí se ujistit, že jsou v atributu objektu uživatele aktualizovány certificateUserIds správné hodnoty pro odpovídající vazby uživatelského jména:

Důležité

Formát hodnot Vystavitel, Předmět a Pořadové číslo musí být v obráceném pořadí jejich formátu v certifikátu. Nepřidávejte žádné mezery v hodnotách Vystavitel ani Předmět .

Ruční mapování vystavitele a sériového čísla

Následující příklad ukazuje vystavitel a sériové číslo ruční mapování.

Hodnota vystavitele , kterou chcete přidat, je:

C=US,O=U.SGovernment,OU=DoD,OU=PKI,OU=CONTRACTOR,CN=CRL.BALA.SelfSignedCertificate

Snímek obrazovky znázorňující ruční mapování hodnoty Vystavitel

Pokud chcete získat správnou hodnotu sériového čísla, spusťte následující příkaz. Uložte hodnotu zobrazenou v certificateUserIdssouboru .

Syntaxe příkazu je:

certutil –dump –v [~certificate path~] >> [~dumpFile path~]

Příklad:

certutil -dump -v firstusercert.cer >> firstCertDump.txt

Tady je příklad certutil příkazu:

certutil -dump -v C:\save\CBA\certs\CBATestRootProd\mfausercer.cer 

X509 Certificate: 
Version: 3 
Serial Number: 48efa06ba8127299499b069f133441b2 

   b2 41 34 13 9f 06 9b 49 99 72 12 a8 6b a0 ef 48

Hodnota sériového čísla, která certificateUserId se má přičíst, je:

b24134139f069b49997212a86ba0ef48

Hodnota certificateUserIds je:

X509:<I>C=US,O=U.SGovernment,OU=DoD,OU=PKI,OU=CONTRACTOR,CN=CRL.BALA.SelfSignedCertificate<SR> b24134139f069b49997212a86ba0ef48

Ruční mapování vystavitele a subjektu

Následující příklad ukazuje vystavitele a ruční mapování subjektu.

Hodnota Vystavitel je:

Snímek obrazovky znázorňující hodnotu Vystavitel při použití s více vazbami

Hodnota Předmět je:

Snímek obrazovky znázorňující hodnotu Předmět

Hodnota certificateUserId je:

X509:<I>C=US,O=U.SGovernment,OU=DoD,OU=PKI,OU=CONTRACTOR,CN=CRL.BALA.SelfSignedCertificate<S> DC=com,DC=contoso,DC=corp,OU=UserAccounts,CN=FirstUserATCSession

Ruční mapování předmětu

Následující příklad ukazuje ruční mapování předmětu.

Hodnota Předmět je:

Snímek obrazovky znázorňující jinou hodnotu předmětu

Hodnota certificateUserIds je:

X509:<S>DC=com,DC=contoso,DC=corp,OU=UserAccounts,CN=FirstUserATCSession

Otestování vazby spřažení

  1. Přihlaste se do Centra pro správu Microsoft Entra pomocí účtu, který má přiřazenou alespoň roli správce zásad ověřování .

  2. Přejděte dozásadověřování>entra ID>.

  3. V části Spravovat vyberte Ověřování metod>ověřování.

  4. Vyberte Konfigurovat.

  5. Nastavte požadovanou vazbu spřažení na úrovni tenanta.

    Důležité

    Dávejte pozor na nastavení spřažení pro celý tenant. Pokud změníte hodnotu Požadovaná vazba spřažení pro tenanta a nemáte v objektu uživatele správné hodnoty, můžete uzamknout celého tenanta. Podobně pokud vytvoříte vlastní pravidlo, které platí pro všechny uživatele a vyžaduje vazbu s vysokou spřažení, můžou být uživatelé v tenantovi uzamčení.

    Snímek obrazovky znázorňující nastavení požadované vazby spřažení

  6. Chcete-li otestovat požadovanou vazbu spřažení, vyberte Možnost Nízká.

  7. Přidejte vazbu s vysokou spřažení, jako je identifikátor klíče subjektu (SKI). V části Vazba uživatelského jména vyberte Přidat pravidlo.

  8. Vyberte SKI a vyberte Přidat.

    Snímek obrazovky, který ukazuje, jak přidat vazbu spřažení

    Po dokončení vypadá pravidlo podobně jako v tomto příkladu:

    Snímek obrazovky znázorňující dokončenou vazbu spřažení

  9. U všech uživatelských objektů aktualizujte certificateUserIds atribut správnou hodnotou SKI z uživatelského certifikátu.

    Další informace naleznete v tématu Podporované vzory pro CertificateUserID.

  10. Vytvořte vlastní pravidlo pro ověřovací vazbu.

  11. Vyberte Přidat.

    Snímek obrazovky znázorňující vlastní ověřovací vazbu

    Zkontrolujte, že dokončené pravidlo vypadá podobně jako v tomto příkladu:

    Snímek obrazovky znázorňující vlastní pravidlo

  12. Aktualizujte hodnotu uživatele certificateUserIds správnou hodnotou SKI z certifikátu a identifikátoru 9.8.7.5zásad .

  13. Otestujte pomocí certifikátu s identifikátorem 9.8.7.5zásad . Ověřte, že je uživatel ověřený pomocí vazby SKI a že se zobrazí výzva k přihlášení pomocí vícefaktorového ověřování a pouze certifikátu.

Nastavení jazyka CBA pomocí rozhraní Microsoft Graph API

Nastavení CBA a konfigurace vazeb uživatelského jména pomocí rozhraní Microsoft Graph API:

  1. Přejděte do Microsoft Graph Exploreru.

  2. Vyberte Přihlásit se k Graph Exploreru a přihlaste se ke svému tenantovi.

  3. Postupujte podle pokynů pro vyjádření souhlasu s delegovaným oprávněnímPolicy.ReadWrite.AuthenticationMethod.

  4. Získejte všechny metody ověřování:

    GET  https://graph.microsoft.com/v1.0/policies/authenticationmethodspolicy

  5. Získejte konfiguraci pro metodu ověřování certifikátu X.509:

    GET https://graph.microsoft.com/v1.0/policies/authenticationmethodspolicy/authenticationMethodConfigurations/X509Certificate

  6. Ve výchozím nastavení je metoda ověřování certifikátu X.509 vypnutá. Pokud chcete uživatelům umožnit přihlášení pomocí certifikátu, musíte zapnout metodu ověřování a nakonfigurovat zásady vazby ověřování a uživatelského jména prostřednictvím operace aktualizace. Pokud chcete aktualizovat zásady, spusťte PATCH požadavek.

    Obsah požadavku

    PATCH https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy/authenticationMethodConfigurations/x509Certificate
Content-Type: application/json

{
    "@odata.type": "#microsoft.graph.x509CertificateAuthenticationMethodConfiguration",
    "id": "X509Certificate",
    "state": "enabled",
    "certificateUserBindings": [
        {
            "x509CertificateField": "PrincipalName",
            "userProperty": "onPremisesUserPrincipalName",
            "priority": 1
        },
        {
            "x509CertificateField": "RFC822Name",
            "userProperty": "userPrincipalName",
            "priority": 2
        }, 
        {
            "x509CertificateField": "PrincipalName",
            "userProperty": "certificateUserIds",
            "priority": 3
        }
    ],
    "authenticationModeConfiguration": {
        "x509CertificateAuthenticationDefaultMode": "x509CertificateSingleFactor",
        "rules": [
            {
                "x509CertificateRuleType": "issuerSubject",
                "identifier": "CN=WoodgroveCA ",
                "x509CertificateAuthenticationMode": "x509CertificateMultiFactor"
            },
            {
                "x509CertificateRuleType": "policyOID",
                "identifier": "1.2.3.4",
                "x509CertificateAuthenticationMode": "x509CertificateMultiFactor"
            }
        ]
    },
    "includeTargets": [
        {
            "targetType": "group",
            "id": "all_users",
            "isRegistrationRequired": false
        }
    ]
}

  7. Ověřte, že 204 No content se vrátí kód odpovědi. Znovu spusťte GET žádost a ujistěte se, že jsou zásady správně aktualizovány.

  8. Otestujte konfiguraci přihlášením pomocí certifikátu, který splňuje zásady.

Nastavení CBA pomocí Microsoft PowerShellu

  1. Otevřete PowerShell.

  2. Připojení k Microsoft Graphu:

    Connect-MgGraph -Scopes "Policy.ReadWrite.AuthenticationMethod"

  3. Vytvořte proměnnou, která se použije k definování skupiny pro uživatele CBA:

    $group = Get-MgGroup -Filter "displayName eq 'CBATestGroup'"

  4. Definujte text požadavku:

    $body = @{
"@odata.type" = "#microsoft.graph.x509CertificateAuthenticationMethodConfiguration"
"id" = "X509Certificate"
"state" = "enabled"
"certificateUserBindings" = @(
    @{
        "@odata.type" = "#microsoft.graph.x509CertificateUserBinding"
        "x509CertificateField" = "SubjectKeyIdentifier"
        "userProperty" = "certificateUserIds"
        "priority" = 1
    },
    @{
        "@odata.type" = "#microsoft.graph.x509CertificateUserBinding"
        "x509CertificateField" = "PrincipalName"
        "userProperty" = "UserPrincipalName"
        "priority" = 2
    },
    @{
        "@odata.type" = "#microsoft.graph.x509CertificateUserBinding"
        "x509CertificateField" = "RFC822Name"
        "userProperty" = "userPrincipalName"
        "priority" = 3
    }
)
"authenticationModeConfiguration" = @{
    "@odata.type" = "#microsoft.graph.x509CertificateAuthenticationModeConfiguration"
    "x509CertificateAuthenticationDefaultMode" = "x509CertificateMultiFactor"
    "rules" = @(
        @{
            "@odata.type" = "#microsoft.graph.x509CertificateRule"
            "x509CertificateRuleType" = "policyOID"
            "identifier" = "1.3.6.1.4.1.311.21.1"
            "x509CertificateAuthenticationMode" = "x509CertificateMultiFactor"
        }
    )
}
"includeTargets" = @(
    @{
        "targetType" = "group"
        "id" = $group.Id
        "isRegistrationRequired" = $false
    }
) } | ConvertTo-Json -Depth 5

  5. PATCH Spusťte požadavek:

    Invoke-MgGraphRequest -Method PATCH -Uri "https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy/authenticationMethodConfigurations/x509Certificate" -Body $body -ContentType "application/json"

Související obsah

  • Last updated on